詳細情報:
OAuth フローの有効化: 認証コードとログイン情報フロー制御の有効化
このセキュリティ設定により、最新の OAuth 2.0 拡張機能が有効化され、アプリケーションがアクセストークンに対して一時的な認証コードを安全に交換しながら、アプリケーションの一意のログイン情報への厳格なリンクを維持できます。
コントロール名
外部クライアントアプリケーション: OAuth フローの有効化認証コードとログイン情報フローの有効化
推奨設定
[認証コードとログイン情報フロー] を有効にします。
制御の概要
このセキュリティ設定により、最新の OAuth 2.0 拡張機能が有効化され、アプリケーションがアクセストークンに対して一時的な認証コードを安全に交換しながら、アプリケーションの一意のログイン情報への厳格なリンクを維持できます。
設定されていない場合のセキュリティリスク
この最新のフローがないと、多くの場合、アプリケーションはユーザーの認証と特定のクライアントアプリケーション間で同じレベルの暗号バインドを提供しない従来の方法または安全性の低い方法に依存し、トークン傍受のリスクを高めます。
脅威のシナリオ
攻撃者は盗取した認証コードを使用して保護されたリソースへのアクセスを試みますが、ハンドシェイクを完了するには特定のクライアントアプリケーションのログイン情報が必要なため、アクセスは失敗します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
この統合フローを実装しないと、トークンがさまざまなセッションでスプーフィングやリプレイを行いやすくなり、セキュリティアーキテクチャがより断片化する可能性があります。
より高いリスク
単純な認証コードが傍受される可能性が高い、非信頼ネットワークで大量のユーザートラフィックを処理する必要がある公開 Web アプリケーションまたはモバイルアプリケーション用。
低リスク
アプリケーションですでに Proof Key for Code Exchange (PKCE) 拡張機能を使用している場合、標準認証コードフローに保護レイヤーが追加されます。
ビジネスと統合に関する考慮事項
このフローを実装するには、開発者がアプリケーションロジックを更新して、ユーザー認証応答とその後のサーバー側ログイン情報検証の両方を同時に処理する必要があります。
推奨される修復
外部クライアントアプリケーションの OAuth 設定に移動し、認証コードとログイン情報フローを有効にするチェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、このフローが複雑なインテグレーションの重要なセキュリティアップグレードとして識別されるため、すべてのトークン交換がアクセスを要求する特定のアプリケーションの ID に対して検証されます。
